Una vez implantado el nuevo Real Decreto de Protección de Datos, las empresas están obligadas a garantizar la seguridad y privacidad de los datos que manejan, y aquí es donde entra en juego una figura que se está volviendo fundamental para las empresas desde el pasado 25 de mayo.
Se trata del Delegado de Protección de Datos (DPO), que para muchas empresas en función de determinados supuestos, su contratación será obligatoria. Pero, ¿sabemos realmente qué es un DPO?
¿En qué consiste la figura del Delegado de Protección de Datos?
La figura del Delegado de Protección de Datos se centra en ejercer una función preventiva a la vez que proactiva, a través de la supervisión, coordinación y divulgación de la política que sigue una empresa en materia de protección de datos, para así conocer los riesgos a los que se enfrenta y las medidas que debe tomar una empresa.
Interesante:
5 reglas de oro para garantizar la seguridad de la información de las empresas
La función del DPO la debe llevar a cabo una persona que bien puede estar contratada en plantilla, o trabajar de manera externa para la empresa, mediante un contrato de outsourcing. Su contratación deberá ser comunicada a la Agencia Española de Protección de Datos (AEPD).
En cualquier caso, será fundamental que la persona que lleve a cabo la función de DPO cuente con conocimientos jurídicos, que le permitan tratar los datos de manera correcta y poder desarrollar sus competencias profesionales de la manera más eficaz, garantizando así la seguridad de los datos confidenciales que maneja la empresa.
El papel que le ha dado el nuevo RGPD al DPO como figura de control interno es fundamental, hasta el punto de que no podrá recibir ningún tipo de instrucción, así como tampoco podrá ser despedido ni sancionado, debido a las medidas de control que esté llevando a cabo.
Además, la empresa contratante debería proveer al DPO de todos los recursos que necesite para poder llevar a cabo su función: tiempo, apoyo económico, infraestructuras, acceso a información…
¿Cuáles son las funciones de un DPO?
Las funciones que debe llevar a cabo un DPO están especificadas en el artículo 39 del Reglamento Europeo, y a continuación te las contamos:
- Ofrecer información y asesoramiento a la persona encargada del tratamiento de datos de la empresa, sobre las funciones que debe llevar a cabo, como la contratación de una empresa que se encargue de la recogida y la destrucción de documentos confidenciales.
- Supervisar que se esté aplicando la normativa correctamente, así como todas las labores derivadas de ésta, como la asignación de responsabilidades, la formación del personal que forma parte de las operaciones de tratamiento de datos…
- Supervisar la implementación y la aplicación del Reglamento Europeo de Protección de Datos.
- Garantizar la conservación de la documentación que se contempla en el artículo 28 de Reglamento Europeo.
- Comprobar la documentación y la notificación, así como comunicar las violaciones de datos personales que se hayan llevado a cabo.
- Supervisar y asesorar sobre la evaluación de impacto que ha generado la protección de datos, y asegurarse de la aplicación en relación a la normativa europea y la propia ley orgánica de protección de datos.
- Colaborar en todo momento con la autoridad de control comunitaria y nacional, que esté encargada de velar por la aplicación de la normativa y ser punto de contacto.
¿Qué empresas están obligadas a contratar un Delegado de Protección de Datos?
En los siguientes supuestos la contratación de un DPO por parte de una empresa será obligatoria:
- Que el tratamiento de datos sea llevado a cabo por una autoridad u organismo público, exceptuando los tribunales que actúen en ejercicio de su función judicial.
- Que las actividades principales llevadas a cabo por el responsable o el encargado del tratamiento precisen de una observación habitual y sistemática de interesados a gran escala.
- Actividades principales del responsable del tratamiento de datos, consistan en dar un tratamiento a gran escala de datos personales o datos relativos en relación a condenas e infracciones penales.
La mayoría de empresas se encuentran principalmente en el segundo supuesto, y en ese caso, la contratación de un DPO sería obligatoria.
Tratamiento a gran escala
Cuando hablamos de tratamiento a gran escala, nos estamos refiriendo a un tipo de tratamiento concreto que se centra en tratar una cantidad de datos personales considerable, que afectan directamente a un importante número de personas, y que pueden tener un alto riesgo para sus derechos y libertades.
Tratamiento habitual y sistemático
Tratamiento llevado a cabo a partir del seguimiento frecuente de personas, a través de un efectivo método de organización, clasificación y ordenación de datos.
Actividades principales
Actividad primaria de la empresa, y no aquellas otras en las que el tratamiento de datos personales no sea primordial. Una actividad será considerada como principal cuando el tratamiento de datos sea su objetivo.
Conclusión
Ahora que ya sabes qué es un Delegado de Protección de Datos, si en tu empresa acostumbras a tratar una gran cantidad de datos personales, deberías valorar seriamente la posibilidad de sumar esta figura a tu plantilla.