Uno de los requisitos de los que habla la próxima Ley General de Datos (GDPR) es la aparición en el organigrama de muchas empresas de la figura del DPO (Data Protection Officer), pero muchos se preguntarán… ¿qué es DPO? ¿Qué funciones debe realizar? ¿Está mi empresa obligada a nombrar uno?
Bien, empecemos por orden. DPO (traducido como Responsable de Protección de Datos) se refiriere a la persona encargada de supervisar (proactiva y preventivamente), coordinar y divulgar la política de la empresa para cumplir la normativa de protección de datos.
Esta figura no es nueva sino que viene a sustituir al DSP, que ya existía en el anterior marco europeo. Aun así puede que no estemos familiarizados con las siglas, ya que este rol no era obligatorio en algunos países de la Unión Europea (entre ellos, España).
Por estos motivos, la persona encargada de llevar a cabo estas funciones deberá tener amplios conocimientos en materia legal y de protección de datos. Una vez entre en vigor la GDPR, las empresas que lo requieran, deberán comunicar a la Agencia Española de Protección de datos la persona que va a ser la encargada del control del cumplimiento de dicha ley.
En cuanto a las principales funciones que debe realizar se encuentran:
- Informar y asesorar al área responsable del tratamiento de datos de las medidas necesarias para cumplir con el Reglamento General.
- Supervisar la aplicación de las normas, asignando las responsabilidades necesarias y coordinando la formación del personal y auditorías correspondientes.
- Tener en todo momento disponible toda la documentación necesaria para que cualquier trabajador pueda consultarla.
- Ejercer de punto de contacto con la autoridad de control sobre cualquier cuestión que resulte necesaria relacionada con los datos personales almacenados.
- Prestar la debida atención a los riesgos asociados a todos los procesos en los que se traten operaciones con datos personales, teniendo en cuenta el alcance, el contexto y fines del tratamiento.
- Atender a aquellos interesados que se pongan en contacto con el DPO para cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos (derecho a la modificación, derecho al olvido…).
- Mantener en todo momento la confidencialidad en lo que respecta al trato con datos personales y negocio de la empresa.
¿Cuándo será necesaria la figura de DPO?
Intentaremos explicar de un modo sencillo si tu empresa requiere o no de este cargo.
(*)En los casos en los que tu compañía no requiera de la un DPO de manera oficial no significa que de cara a una mejora en la seguridad de los datos de la compañía no se designe a una persona encargada de ello. Siempre es bueno revisar las condiciones de la GDPR y las funciones de un DPO, puesto que a lo mejor nuestra compañía no está legalmente obligada (de momento) a su cumplimiento, pero cada vez las normativas son más estrictas, las sanciones más duras, los riesgos por vulneraciones de seguridad y la sensibilización de los ciudadanos acerca de los datos personales mayores… y en este sentido, un Delegado de Protección de Datos es una figura clave.
Después de todo esto es muy posible que nos entren las prisas viendo que necesitamos tener una persona dedicada y bien cualificada que sea la responsable de que nuestros datos estén seguros y protegidos de una manera adecuada. Aquí es donde viene una de las partes positivas de la legislación, y es que es posible contratar un DPO de manera externa, es decir, el Responsable de Protección de Datos puede ser un profesional que desempeñe sus funciones a través de un contrato de servicios siempre y cuando se garantice su independencia: no está permitido darle instrucciones, ni despedirle ni tomar ninguna medida en función de sus valoraciones.