La entrada en vigor de la aplicación efectiva del Reglamento Europeo de Protección de Datos (en adelante, RGPD) el 25 de mayo de 2018, introdujo en las organizaciones la figura del Delegado de Protección de Datos o Data Protection Officer (en adelante, DPO), que siendo obligatorio para las empresas con más de 250 trabajadores, también puede ser designado voluntariamente en cualquier otro tipo de compañía, y viene a representar un papel esencial de garante del cumplimiento de la normativa sobre protección de datos.
Debido a este carácter esencial de la figura en la normativa, es importante conocer el perfil y cualidades del nuevo DPO, sus funciones y responsabilidades, así como el régimen de incompatibilidades que caracterizarían al DPO interno, si formase parte de la plantilla de la organización, y muy probablemente, en muchas compañías, como integrante del propio departamento jurídico in house.
Perfil idóneo del DPO
De acuerdo con el artículo 37 y el Considerando 97 del RGPD, las capacidades y cualidades que debe reunir el perfil idóneo DPO de la organización son las siguientes:
a) Conocimiento del sector empresarial en el que se ubica la organización y de los sistemas de información de la misma.
b) Acceso y relación con otras áreas de la organización para poder desarrollar sus funciones.
c) Conocimientos especializados en materia de protección de datos, en función de las operaciones de tratamiento de datos que se realizan en la organización y las necesidades de seguridad y protección exigidas para los datos personales que se manejan en la misma, debiendo ser conforme con la sensibilidad, complejidad y cantidad de los datos que la organización trata. En este sentido, se valorará positivamente que posea conocimientos especializados de Derecho y tenga práctica en materia de protección de datos.
d) Capacidad suficiente, en atención a sus cualidades profesionales, para desempeñar las funciones propias de su cargo.
e) Integridad y alta ética profesional, capacidad de comunicación, así como habilidades personales y empatía a la hora de lidiar con situaciones relativas a la gestión de reclamaciones o posibles discrepancias que se puedan producir entre los criterios empresariales y la interpretación normativa.
f) Se valorarán positivamente las certificaciones oficiales que posea y que acrediten su conocimiento, tales como la certificación que la propia AEPD ofrece junto a ENAC. Pese a no ser obligatoria aportaría mayor seguridad jurídica al DPO y a la organización.
Funciones del DPO
Asimismo, son funciones del DPO, en su condición de responsable de la organización en materia de protección de datos, atendiendo al artículo 39 del RGPD:
a) Informar y asesorarsobre la normativa de protección de datosa la organización, al encargado del tratamiento y a los empleados que se ocupen del tratamiento, revisando y actualizando los documentos para adecuarlos a la normativa actual.
b) Supervisar el cumplimiento de lo dispuesto en el Reglamento, y en otras disposiciones de protección de datos que resulten exigibles, en las políticas de la organización, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y realizar las auditorías correspondientes, implantando un sistema de verificaciones periódicas de cumplimiento del Reglamento, elaborando informes de gestión y cumplimiento trimestral, identificando, proponiendo e implementando las medidas complementarias o correctoras que estime convenientes a la luz de las verificaciones periódicas e informes de gestión, así como formando internamente al resto de trabajadores.
c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, participando en las reuniones del órgano de dirección de la organización, siempre que se requiera su presencia dentro del ámbito de protección de datos, así como en cualquier otra en la que se estime necesaria su presencia.
d) Cooperar con la AEPD y actuar como punto de contacto de la AEPD para cuestiones relativas al tratamiento, y realizar consultas sobre cualquier asunto que estime conveniente, gestionando las solicitudes de ejercicios de derechos por parte de los interesados y respondiendo a consultas y peticiones planteadas por los mismos, notificando y gestionando las violaciones de seguridad, así como asesorando y dirigiendo la defensa jurídica en el ámbito de la LOPD y LSSICE en vía administrativa.
Obligaciones del DPO
Asimismo, el DPO en el ejercicio de sus funciones, en atención al artículo 38 del RGPD, está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, y debe realizar su trabajo sin recibir ninguna instrucción por parte del responsable y el encargado del tratamiento en lo que respecta al desempeño de dichas funciones.
En este sentido, el DPO no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo en los supuestos de dolo o negligencia grave, pues son el responsable o el encargado del tratamiento quienes están obligados a garantizar y ser capaces de demostrar que los tratamientos se realizan de conformidad con el RGPD. No obstante, la dejación de sus funciones, un mal asesoramiento, la mala praxis profesional o la no adopción de sus funciones establecidas legalmente, pueden conllevar determinadas responsabilidades, incluso en el orden penal, derivadas de acciones de comisión pura o, incluso, de la comisión de tipos delictivos por comisión por omisión, en relación con sus funciones o posición de garante en el tratamiento de datos personales.
Respecto a la posible incompatibilidad de funciones que pudiera existir en el desempeño de su trabajo, el RGPD permite que el DPO realice otras funciones y cometidos, pero estas no podrán implicar un conflicto de intereses, debiendo el DPO actuar, en todo momento, con criterio de independencia. En este sentido, no puede ocupar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.
En conclusión, el DPO debe ser una figura independiente y autónoma dentro de la organización, que cuente con el apoyo de la alta dirección, debiendo disponer de recursos y tiempo para afrontar sus funciones, facilitándosele la formación necesaria y definiéndose las políticas de comunicación necesarias para que el personal y los interesados conozcan su figura, sus funciones y los medios de contacto con los que cuenta.
