Reto 2: ¿Qué es el DPO (Delegado de Protección de Datos)
Te habrás preguntado qué es el DPO. Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones.
El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a las empresas que tratan datos.
Una de estas medidas, totalmente novedosa en la normativa europea, es la de implantar en la empresa la figura de un DELEGADO DE PROTECCIÓN DE DATOS.
Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control (en este caso, la Agencia de Protección de Datos).
¿Quién puede ser DPO?
Al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho y en protección de datos, y que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte de la empresa o el profesional que trata datos de carácter personal.
Cabe decir que implantar esta figura no es obligatorio para todas las empresas. El RGPD establece que será obligatorio tenerlo cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades principales del responsable o del encargado consistan en el tratamiento de categorías especiales de datos personales.
¿El DPO es obligatorio? ¿Qué significa a Gran Escala? ¿Qué significan categorías especiales de datos?
Está claro que empresas que cuenten con una determinada estructura, o bien traten datos sensibles (datos de salud, ideología, vida sexual), o bien cuenten (aun siendo pequeñas) con bases de datos con multitud de contactos, necesitarán nombrar y ser acompañados por un DPO.
Sin embargo, en otras ocasiones será complicado determinar dónde está el límite que nos permite obviar esta obligación.
A pesar de ello, lo que está claro que la filosofía del nuevo Reglamento Europeo es la de implantar este mecanismo en todas las empresas, mediante la contratación de organizaciones o personas especialistas que, en mayor o menor medida y en función de las necesidades de cada empresa, controlen periódicamente el cumplimiento de la normativa, y orienten, auditen, ayuden y den tranquilidad al empresario de que lo está haciendo bien.
Si has llegado a este punto, habrás ya superado el Reto nº 2 (qué es el DPO del nuevo RGPD). No te olvides de superarlos anteriores. nuestro anterior reto nº 1 RGPD.
Xavi Saula
Abogado – Socio Auris Advocats
DPO-Especializado en Protección de Datos
y adaptación al nuevo RGPD