Delegado de protección de datos, DPO o Data Protection Officer

Designación del DPO, obligatoriedad, características, protección y ámbito de actuación

En cualquiera de sus denominaciones, se hace imprescindible hacernos la pregunta si en nuestra empresa, organización, Colegio profesional…, será obligatorio el nombramiento de esta figura, que protección tendrá, que competencias le serán asignadas, tras la aprobación del Nuevo Reglamento Europeo de Protección de datos, Reglamento (UE) 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, así como del Anteproyecto de Modificación de la Ley Orgánica de protección de datos de carácter personal.

Esta figura constituye uno de los elementos claves del Reglamento, para el cumplimiento de la normativa de protección de datos en las organizaciones. Esta figura estará dotada de autonomía dentro de la empresa, para poder desarrollar sus funciones de manera libre. Podrá ser interno o externo. Se precisará que esta figura posea conocimientos en la materia, y podrá ser una persona física o jurídica.

La Agencia Española de protección de datos, no obstante, está trabajando en la acreditación de los DPOs, de manera que aunque no sea obligatorio, dotara de garantías a esta figura, puesto que desarrollara un modelo de certificación, que ofrezca garantías y confianza a los ciudadanos. Corresponderá a ENAC, la certificación de aquellas entidades que cumplan con los requisitos del esquema de certificación, impulsado por la Agencia Española de protección de datos y la Entidad Nacional de Acreditación.

Para proteger al delegado, en el caso de que su nombramiento sea interno, éste no podrá ser cesado, ni sancionado, salvo negligencia grave en el desarrollo de sus funciones.

El responsable o el encargado pondrán a disposición, tanto los medios materiales como personales para el desarrollo de sus funciones y en su caso personal asignado, locales e instalaciones y/o equipos.

Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento, proponiéndoles las medidas necesarias para evitar la persistencia en esa conducta.

Diferencia con el responsable de seguridad actual.

Con la incorporación del DPO se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la normativa de protección de datos.

La diferencia más significativa entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de este último en sus funciones.

El DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía a profesionales sin la adecuada capacitación. El DPO deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar los cometidos contemplados en el Reglamento.

El anteproyecto otorga al DPO una función que hasta ahora venía desarrollando la AEPD. Y es que los afectados podrán dirigir las reclamaciones directamente al delegado de protección de datos de la empresa contra la que se reclame, que deberá responder en un plazo máximo de dos meses. No solo eso, sino que la propia agencia también podrá remitir las reclamaciones que le lleguen al delegado de protección de datos si el afectado no acudió a él previamente.

Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, sin haber hecho uso de la posibilidad a la que se refiere el apartado anterior, aquéllas podrán remitir la reclamación al delegado de protección de datos a fin de que por el mismo se dé respuesta a la misma en el plazo de un mes.

El DPO, será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.

Obligatoriedad de designar un DPO.

En qué casos será necesario nombrar un DPO, en nuestra organización.

Artículo 37.1 del Reglamento Europeo de Protección de datos:

  1. a) Colegios profesionales y sus Consejos Generales
  2. b) Los Centros Docentes que ofrezcan Enseñanzas reguladas por la LO 2/2006 de 3 de Mayo de Educación, y las Universidades Públicas y Privadas
  3. c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
  4. d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
  5. e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  6. f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
  7. g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  8. h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  9. i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
  10. j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  13. m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
  14. n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

ñ)  Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4de abril, de Seguridad Privada.

  1. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar un delegado de protección de datos voluntario, que quedará sometido al régimen establecido en este capítulo.
  2. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos y, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
  3. La Agencia Española de Protección de Datos mantendrá una relación actualizada de delegados de protección de datos que será accesible por medios electrónicos.

Sin duda, el Reglamento Europeo de Protección de datos y el Anteproyecto de Modificación de la Ley Orgánica de protección de datos de carácter personal, a través de su desarrollo, otorgan una importancia vital a la protección de datos en el ámbito de las organizaciones, y la figura de los DPOs, será un acierto seguro para poder cumplir con la normativa incluso en los casos que no sean de obligado cumplimiento, ya que serán garantía de responsabilidad, y cumplimiento con la normativa actual.