Lunes, 20 Junio 2016

La figura del Delegado de Protección de Datos (DPO o Data Protection Officer) en el nuevo Reglamento Europeo

VolverAnalizamos en este artículo la obligación de nombrar un Delegado de Protección de Datos que impone el nuevo Reglamento Europeo: en qué supuestos aplica tal obligación, qué requisitos han de cumplirse en su designación y qué funciones debe asumir:

¿Qué empresas o entidades están obligadas a contar con un DPO?

Con arreglo a lo dispuesto en el nuevo Reglamento General de Protección de Datos, todas las personas físicas o jurídicas, públicas o privadas, que actúen como responsables y/o como encargados del tratamiento estarán obligadas a designar un Delegado de Protección de Datos (DPO o Data Protection Officer, según su denominación en inglés), siempre que sus actividades principales consistan en:

a) El tratamiento a gran escala de categorías especiales de datos personales (concretamente: datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical; datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física; o datos relativos a condenas e infracciones penales); o bien en

b) Operaciones de tratamiento que en razón de su naturaleza, alcance y/o fines requieran una observación habitual y sistemática de interesados (esto es, de personas físicas titulares de los datos), a gran escala.

Asimismo, el responsable y el encargado del tratamiento deberán también designar un Delegado de Protección de Datos siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, excepto cuando se trate de tribunales que actúen en ejercicio de su función judicial.

Al margen de estos supuestos, el responsable o el encargado del tratamiento (o las asociaciones u otros organismos que representen a categorías de responsables o encargados) podrán designar un Delegado de Protección de Datos o deberán designarlo, si así se lo exigiera el Derecho de la Unión o el de los estados miembros.

En el caso de grupos empresariales, podrá nombrarse un único Delegado de Protección de Datos para todas las entidades del grupo siempre que sea fácilmente accesible desde cada filial o establecimiento.

El responsable o el encargado del tratamiento deberán publicar los datos de contacto del DPO que designen, y deberán asimismo comunicar su nombramiento a la autoridad de control (esto es, a la Agencia Española de Protección de Datos).

¿Qué funciones debe desempeñar un DPO?

El Delegado de Protección de Datos tendrá, como mínimo, las siguientes funciones:

a) Informar y asesorar al responsable o al encargado del tratamiento, y a los empleados de éstos que se ocupen del tratamiento de datos personales, de las obligaciones legales y reglamentarias que les son de aplicación, tanto a nivel de normativa de la UE como de los estados miembros.

b) Supervisar el cumplimiento de lo dispuesto en la normativa aplicable, nacional o europea, así como el cumplimiento de las políticas que el responsable o del encargado del tratamiento tengan establecidas en materia de protección de datos, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.

c) Asesorar acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

d) Cooperar con la autoridad de control (esto es, con la Agencia Española de Protección de Datos) y actuar como punto de contacto de ésta para cuestiones relativas al tratamiento.

e) Los interesados (esto es, los titulares de los datos) podrán ponerse en contacto con el Delegado de Protección de Datos para todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.

El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, alcance, contexto y fines de éste, y estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

Podrá desempeñar además otras funciones y cometidos (es decir, sus funciones no estarán necesariamente limitadas solamente a las de Delegado de Protección de Datos), si bien en tal caso el responsable o encargado del tratamiento deberán garantizar que esas otras funciones que desempeñe no den lugar a conflictos de interés.

¿Qué perfil profesional debe tener un candidato a DPO? ¿Y qué encaje deberá dársele en el organigrama de la entidad?

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar adecuadamente las funciones anteriormente descritas, y rendirá cuentas directamente al más alto nivel jerárquico de la entidad responsable o encargada del tratamiento.

Deberá ser respaldado por el responsable o encargado en el desempeño de sus funciones, no recibirá ninguna instrucción en lo que respecta a dicho desempeño, ni podrá ser destituido ni sancionado por desempeñar las funciones inherentes a su puesto. El responsable y el encargado del tratamiento deberán facilitarle los recursos necesarios para el desempeño de sus funciones y para el mantenimiento de sus conocimientos especializados, y deberán también facilitarle el acceso a los datos, además de garantizar que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales en el seno de la organización.

Está claro, pues, que el perfil de DPO que el Reglamento dibuja es el de un profesional con formación especializada en Derecho de Protección de Datos y con experiencia profesional en la materia, que esté suficientemente capacitado para desempeñar con la necesaria independencia de criterio las funciones propias del cargo. Podrá formar parte de la plantilla del responsable o del encargado del tratamiento o bien desempeñar sus funciones de forma externa, bajo un contrato de prestación de servicios, debiendo en cualquier caso reportar al más alto nivel jerárquico de la organización.

En el Departamento de Derecho Digital de Belzuz Abogados, como abogados expertos en Protección de Datos, estamos a disposición de nuestros clientes para aclarar cualquier duda que les pueda surgir respecto a sus nuevas obligaciones y responsabilidades conforme al nuevo Reglamento General de Protección de Datos, y para ayudarles a planificar los procesos de adaptación necesarios en cada caso.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa