¿Debe mi empresa nombrar un DPO?

El DPO es una figura independiente que deberá ejercer una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la empresa. Lo deberá hacer tanto en el de la misma como desde dentro hacia el exterior. El DPO es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la/s autoridad/es de control. 

El Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Asimismo, su designación, no eximirá a la empresa u organización de responsabilidad por los diferentes tratamientos que se lleven a cabo con los datos de las personas ni, por supuesto, del cumplimiento de las normas del Reglamento.

1er PASO: ¿Mi empresa está obligada a nombrar a un DPO?

El responsable y/o el encargado del tratamiento de la empresa deberá, obligatoriamente, nombrar un DPO cuando:

1.    El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

2.    Las actividades principales del responsable/encargado del tratamiento consistan en tratamientos que, por naturaleza, alcance y/o fines,  requieran una observación habitual y sistemática de interesados a gran escala.

3.    Las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

En el caso de la mayoría de empresas, nos encontraremos ante el 2º supuesto. Así pues, en cada uno de los tres supuestos anteriores, deberá nombrarse DPO.

¿Qué significa "tratamiento a gran escala", "tratamiento habitual y sistemático" y "condenas e infracciones penales"?

Tratamiento a gran escala: es un tipo de tratamiento que persigue tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.

Tratamiento habitual y sistemático: es que el tratamiento se lleve a cabo haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos.

Condenas e infracciones penales: son datos relativos a condenas e infracciones penales o medidas de seguridad afines, llevadas a cabo bajo la supervisión de autoridades públicas.

El Reglamento, también enumera otros motivos (no obligatorios) por los que recomiendan la designación del DPO:

• Complejidad legal creciente de los tratamientos de datos personales como p.e. transferencias internacionales.
• Mayor concienciación de los interesados sobre sus derechos y la manera de cómo proteger sus datos personales.
• La protección de la privacidad de los clientes.
• Las sanciones que pueden recaer sobre la empresa en caso de incumplimiento.

2º PASO: ¿Qué principales funciones deberá desarrollar el DPO?

1. Informar y asesorar al responsable/encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben según el Reglamento.
2. Supervisar el cumplimiento del Reglamento, y otras disposiciones de protección de datos.
3. Asesorar en los casos de evaluaciones de impacto y supervisar su aplicación.
4. Cooperar con la autoridad de control y actuar como punto de contacto para cuestiones relativas al tratamiento, incluida la consulta previa.
5. Prestar la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
6. Rendir cuentas directamente al más alto nivel jerárquico del responsable/encargado.
7. Atender a los interesados que se pongan en contacto con el DPO para cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
8. Mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

3er PASO: ¿Qué cualidades deberá tener el DPO que escojamos?

La empresa deberá seguir los siguientes criterios para la designación del mismo:

• Cualidades profesionales.
• Conocimientos especializados del Derecho.
• Práctica en materia de protección de datos.
• Capacidad para desempañar las tareas que tiene designadas en la ley (el nuevo Reglamento Europeo así como la normativa local en materia de protección de datos).

4º PASO: ¿Puedo escoger un perfil de dentro la empresa o externo?

El nuevo Reglamento nos permite ambas opciones. Se podrá escoger entre:

a.    Un miembro de la plantilla del responsable/encargado del tratamiento, es decir, asignando tal función a un trabajador que ya forme parte de la plantilla de la empresa.

b.    Un profesional externo, es decir, contratando a un experto mediante un contrato de prestación de servicios para cumplir con las tareas de DPO.

5º PASO: ¿Qué posición ostentará el DPO en relación a los otros cargos?

Por último, la ubicación ideal del DPO en el organigrama de la empresa deberá ser coherente con el grado de independencia que se le atribuye, quedando desligada de la estructura jerárquica y del negocio.

En el nuevo curso de DPO de Thomson Reuters Aranzadi hemos hecho un gran esfuerzo para describir la metodología y las acciones que un DPO debe realizar en el seno de una empresa o como DPO externo.