La AEPD anunció[1] este mes de marzo su participación en una acción con otras agencias europeas de protección de datos que estará enfocada a evaluar si las organizaciones de varios sectores de actividad cumplen con los requisitos que establece el Reglamento General Europeo de Protección de Datos, el RGPD, para el nombramiento de los Delegados de Protección de Datos.
¿Cuáles son los requisitos para ser Delegado de Protección de Datos?
Con la entrada en vigor del RGPD, se estableció la figura del Delegado de Protección de Datos (o DPO, por las siglas del término en inglés “Data Protection Officer”) como una pieza clave en la gestión de protección de datos de las empresas y entidades públicas que realizan tratamientos de datos más complejos para garantizar el cumplimiento de las normativas relacionadas con la protección de datos personales.
Sin embargo, es bastante frecuente que las organizaciones nombren DPO sin tener en cuenta que éste/a no puede ser cualquier persona, sino que éste/a debe contar con ciertas características. Algunas de ellas vienen establecidas por el propio RGPD, y otras que vienen implícitas en las propias funciones, y han sido plasmadas en las Directrices sobre los delegados de protección de datos (DPD) elaboradas por el grupo de trabajo del art. 29. (el “GT 29”).
Principales características para ser DPO o Data Protection Officer
- Conocimientos en materia legal y técnica: El RGPD establece que el nombramiento se realizará atendiendo a “sus conocimientos especializados del Derecho y la práctica en materia de protección de datos”.
Por ello, aunque el DPO no necesariamente debe ser un/a abogado/a, sí que éste/a debe contar con una formación sólida en materia legal y que esta sea específica del ámbito de protección de datos, tanto de la normativa europea como de la legislación nacional. Además, debe estar al tanto de las novedades en este campo, y contar con la capacidad de interpretar y aplicar la legislación en el ámbito práctico. Por ello, es recomendable que tenga estudios en derecho, y si es posible, una especialización o formación continua en protección de datos y privacidad.
Por otro lado, en el contexto actual, no solo es necesario que el DPO tenga conocimiento de la normativa, sino también debe contar con conocimientos técnicos sobre las tecnologías necesarias para gestionar la protección de datos. El DPO debe ser capaz de comprender los sistemas informáticos de la organización y cómo se recopilan, procesan y almacenan los datos personales. En este sentido, debe ser capaz de trabajar con profesionales del sector de las TIC para desarrollar políticas y procedimientos que afecten a la protección y seguridad de los datos.
En cuanto al grado de conocimiento, según el GT 29, éste debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata. Asimismo, también resultará útil el conocimiento del sector empresarial y de la organización donde esté nombrado.
- Independencia:
El GT 29 establece que el DPO debe contar con el “suficiente grado de autonomía dentro de su organización”. Es decir, el Delegado de Protección de Datos debe poder actuar sin la influencia de otros departamentos u organizaciones, debiendo poder tomar decisiones objetivas en relación con los tratamientos de datos personales que se hacen o pretenden hacerse en la organización, incluyendo, en este sentido, la legalidad o no de las prácticas de la entidad en relación con la interpretación de la normativa. En consecuencia, el DPO no debería ser una persona dentro de la organización que participe de la toma de decisiones que afecte a las actividades de tratamiento (por ejemplo, un directivo).
- Capacidad de análisis y enfoque en el riesgo:
Una de las novedades del RGPD, es que su enfoque se basa en el grado de riesgo de las operaciones de tratamiento. Del mismo modo, por tanto, como hace mención el GT 29 en sus directrices, el DPO debe ser capaz de saber establecer prioridades para poder centrar sus esfuerzos mayoritariamente en las cuestiones o actividades que presenten riesgos más elevados para la protección de datos.
- Habilidades de comunicación y resolución de conflictos:
Una de las funciones principales del DPO es la de ejercer como el nexo de comunicación entre la entidad y, por un lado, las autoridades competentes en materia de protección de datos y, por otro lado, con los interesados que puedan contactar con la organización ya sea para ejercer sus derechos o para presentar cuestiones relativas a la privacidad. Así mismo, el DPO tiene la tarea esencial de transmitir la importancia de cumplir con la privacidad de los datos y las medidas que deben ser implementadas para garantizar su protección a todos los miembros de su organización. Es por ello, que es importante que el DPO tenga habilidades de comunicación para poder transmitir los mensajes adecuados en cada momento y según el interlocutor. También es esencial que el DPO tenga cierta habilidad para mediar en la resolución de conflictos, pues éste, con frecuencia, es quien interviene en caso de demandas y quejas de los afectados por prácticas de la entidad que afectan a su privacidad.
En conclusión, aunque el DPO tiene un papel fundamental en las organizaciones que realizan tratamientos de datos personales de riesgo, es importante que este cuente con las características mencionadas anteriormente, si no, no podrá desarrollar sus funciones de manera eficiente y eficaz, abordando todas las cuestiones que debe observar una organización en materia de protección de datos. En este sentido, cabe recordar que son las organizaciones (los responsables del tratamiento) las que deben seleccionar el DPO de forma acorde con lo establecido en la normativa, y estar en disposición de demostrarlo, sin que el DPO sea personalmente responsable en caso de incumplimiento del RGPD.
[1] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-participa-accion-europea-coordinada-para-analizar-designacion-y-situacion-de-dpds
Artículo escrito por:
Elena Sánchez
Abogada especialista en Privacidad, Propiedad Intelectual y Contratación tecnológica.
Sobre Metricson
Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!