¡¡¡TIC TAC TIC TAC!!! Cada vez queda menos tiempo. La fecha fatídica del 25 de mayo está a la vuelta de la esquina y todavía no tengo decidido a quien voy a designar formalmente como Delegado de Protección de Datos. Debe ser una persona de la empresa, o me inclino por un externo (ahora que tantos profesionales están de prisa y corriendo haciendo cursos avanzados de protección de datos para poder ocupar el puesto), o finalmente, me decido por la solución intermedia que es la de nombrar a alguien de la casa con funciones representativas, pero cuyas tareas sean desempeñadas por un externo colaborador.
Fuera como fuere, lo primero que tengo que ver es si vengo obligado a designar un Delegado de Protección de Datos (DPO por sus siglas en español), pues no todas las entidades están obligadas a tenerlo. Nos dice el Reglamento Europeo que, las empresas y los proveedores (responsables y encargados del tratamiento) deberán designar un Delegado de Protección de Datos si:
- El tratamiento lo lleva a cabo una autoridad u organismo público, excepto los Tribunales en el ejercicio de su función jurisdiccional.
- Aquellos responsables o encargados cuya actividad principal requiera una observación habitual y sistemática de individuos a gran escala.
- Los que tengan por actividad principal el tratamiento a gran escala de categorías especiales de datos personales (los llamados datos sensibles o especialmente protegidos) y los que afecten a infracciones penales.
Por tanto, la gran mayoría de las empresas deberá contar con esta figura, que debe ser designado formalmente. Se autoriza que los grupos de empresas pueden designar un único delegado para todas ellas. Lo mismo pueden hacer las Asociaciones que representen a categorías de responsables, pudiendo el delegado representarlas y actuar por cuenta de éstas.
El Reglamento requiere que el DPO reúna unas condiciones especiales como es el hecho que tenga conocimientos especializados en Derecho, y en particular en materia de protección de datos, con experiencia en su práctica. Pero también, deberá poseer conocimientos técnicos suficientes para entender el complejo mundo de la informática y comunicaciones. La Agencia Española de Protección de datos ya ha comentado en varias consultas que esta labor la pueden llevar tanto abogados especializados como ingenieros informáticos, siempre que unos y otros, completen sus conocimientos con procesos legales, en el caso de los segundos, o con procesos informáticos los primeros.
Si bien el Reglamento no especifica que deba de poseer títulos, si por el contrario admite, aunque no es obligatorio, que se certifique a personas como Delegados de Protección de Datos. La Agencia ya publicó hace meses un esquema de certificación de personas para que empresas certificadoras puedan acreditar y expedir estos títulos, y ya se están impartiendo diversos cursos para estas funciones.
Requerimientos para nombrar a un DPO
Hay que hacer especial mención a los requerimientos que se exigen a las empresas que vayan a nombrar DPO para el desempeño de sus funciones. En primer lugar, la empresa deberá asignar recursos necesarios y suficientes, tanto para facilitar sus funciones como para el mantenimiento de sus conocimientos especializados. Por lo que se refiere a su nivel jerárquico, el Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del Responsable o Encargado, asegurándose que no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.
Por último, fijar las funciones que a partir de ahora van a corresponder al DPO. Lo primero informar y asesorar al Responsable o Encargado y a sus empleados que se ocupen del tratamiento de datos de carácter personal de las obligaciones que les corresponden. Debe supervisar el cumplimiento de lo dispuesto en el Reglamento y cooperar con la Autoridad de control actuando como interlocutor válido frente a esta.
Esta nueva figura de creación legal representa todo un esfuerzo y recursos para las empresas, que deberán aplicarse a la mayor brevedad, pues queda poco tiempo, en su implantación y designación formal. La cuenta atrás no para.
Óscar Deleito, Socio Responsable del Área de Derecho digital de AVERUM Abogados
