Una de las principales novedades que nos aporta el nuevo Reglamento Europeo de Protección de Datos, es la regulación de la figura del delegado de protección de datos (data protection officer en su traducción en inglés). Ahora bien, aunque es la primera vez que esta figura adquiere regulación legal a nivel comunitario, ello no significa que estemos ante una figura de nuevo cuño.
Lo cierto es que la complejidad cada vez mayor de la normativa de protección de datos, unido a una casuística más diversificada, obliga a los responsables de ficheros de datos de carácter personal a disponer de personal especializado en esta materia, siendo Alemania uno de los primeros estados en incluir esta figura en su normativa nacional de protección de datos.
¿Qué es un delegado de protección de datos? Si nos ceñimos a la regulación contenida en el apartado 5 del artículo 37 del Reglamento, un delegado de protección de datos sería aquella persona designada “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”.
No obstante la definición anterior, el Reglamento no exige una formación específica ni una titulación concreta para desempeñar las funciones de delegado de protección de datos.
Las principales características del delegado de protección de datos son:
- Podrá formar parte de la plantilla de las empresas o entidades, o ser un profesional independiente vinculado por medio del correspondiente contrato de prestación de servicios.
- Independencia: el Reglamento regula un régimen específico tendente a evitar que el delegado de protección de datos pueda recibir instrucciones en el ejercicio de sus funciones o pueda ser sancionado o destituido como consecuencia del desempeño de sus funciones.
- Rinde cuentas al más alto nivel jerárquico en el seno del responsable del fichero o del encargado de tratamiento.
- Obligación de secreto: el delegado de protección de datos debe mantener secreto y confidencialidad en lo que afecta al desarrollo de sus funciones.
Funciones del delegado de protección de datos
Las funciones que como mínimo que debe asumir el delegado de protección de datos se enumeran en el artículo 39 del Reglamento y son las siguientes:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en materia de protección de datos.
- Supervisar el cumplimiento de lo dispuesto en la legislación vigente en cada momento y las políticas de protección de datos de las empresas y entidades públicas y/o privadas.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.
¿Quiénes están obligados a contar con un delegado de protección de datos?
Según el Reglamento, los siguientes entes deben contar con los servicios de un delegado de protección de datos:
- Administraciones públicas.
- Cuando las actividades principales de la entidad en cuestión conlleve tratamiento de datos que por razón de su naturaleza, alcance o fines, implique una observación habitual y sistemática de interesados a gran escala.
- Que la actividad principal del responsable del fichero o del encargado de tratamiento implique el tratamiento a gran escala de categorías especiales de datos o de datos que conlleven condenas penales.
Al margen de las administraciones públicas, en lo que afecta a entidades privadas, entendemos que el reglamento supedita la obligatoriedad de contar con un delegado de protección de datos a dos aspectos esenciales:
- Que el tipo de actividad a desarrollar implique la necesidad de tratar un volumen muy elevado de datos personales, con la consiguiente necesidad de vigilar el correcto tratamiento de dichos datos.
- Cuando el responsable del fichero trate datos comprendidos en lo que el reglamento califica como datos de categoría especial, entre los que se encuentra, datos relativos a origen étnico o racial, datos genéticos, datos relacionados con afiliación sindical etc.
Disponer de un delegado de protección de datos a tiempo completo es algo que puede no estar al alcance de todas las economías (autónomos, pymes etc.) que por su actividad se vean en la necesidad de tratar datos de los descritos con anterioridad. Sin embargo, como se ha expuesto, el delegado de protección de datos no tiene por qué formar parte de la plantilla a tiempo completo sino que se puede optar por contratar a un profesional independiente mediante un contrato de prestación de servicios.
En definitiva, la normativa de protección de datos se ha complicado sobremanera, y las sanciones derivadas de su infracción se han incrementado. Así las cosas, la prevención es esencial. Ya no es suficiente con disponer de un responsable de seguridad sino que es necesario contar con alguien especializado en la materia que revise los protocolos de actuación y proponga las modificaciones pertinentes. Cuanto antes cuente con los servicios profesionales de un especialista, antes podrá revisar e implementar los cambios necesarios para adaptarse a la nueva normativa.
Destreza Legal Abogados puede ayudarle a implementar, revisar y, en su caso, adaptar los protocolos en materia de tratamiento de datos personales a la nueva normativa. Pinche aquí.