Describamos el contexto, sintonicemos en la comprensión del papel de la normativa en materia de protección de datos personales para contratar un delegado protección de datos.
Con respecto a la normativa de la Unión Europea, por el Reglamento General de Protección de Datos (RGPD), y a nivel interno español, como complemento y desarrollo del RGPD, por la Ley Orgánica de Protección de Datos personales y de Garantía de los Derechos Digitales (LOPDGDD) es en donde se estable el contexto legal para contratar un delegado de protección de datos.
Entonces, un delegado de Protección de Datos (DPD/DPO) es la figura responsable dentro de la organización, de supervisar y monitorizar de manera independiente y principalmente confidencial el cumplimiento cabal de la normativa vigente en materia de protección de datos personales. Por lo tanto, debe informar y asesorar a la organización que lo ha designado y a sus colaboradores que traten los datos con los deberes y derechos que les corresponden
Por otro lado, ofrecerá todo el asesoramiento que se le solicite, cooperará con la autoridad de control (la Agencia Española de Protección de Datos -AEPD-) y se erigirá en punto de contacto para todos los asuntos concernientes a este tema provenientes tanto de la autoridad o en consecuencia del propio titular de los datos personales tratados.
Ahora bien, establecido los conceptos por el que se rige esta figura, pasamos a establecer que requisitos reales y prácticos debe esperar cumplir de la persona a quien se le asigne tales funciones.
Formación Académica, Requisitos y Prerrequisitos
Para contratar un delegado protección de datos asegúrese tenga los conocimientos especializados en derecho de la legislación de Protección de datos es imprescindible (no necesariamente ser un jurista) pero si practica y experiencia en materia de protección de datos.
Si bien oficialmente no se requiere una certificación de la formación, sí que deberá acreditar los conocimientos y experiencia necesarios.
La AEPD ha estado promoviendo un esquema de certificación de DPO con prerrequisitos para aquellos que cualifican con los conocimientos y la experiencia para ejercer como profesión. Datapro es una de aquellas entidades certificadora debidamente acreditada por la (ENAC) Entidad Nacional de Acreditación.
Cuando se refiere a experiencia se contempla aquella en proyectos o actividades y tareas relacionadas. Su valoración se realizará teniendo en cuenta que los 2, 3 o 5 años exigidos (dependiendo del caso) deben ser completos y su cómputo se evaluará sobre la base de 225 días y 8 horas de la jornada laboral, aplicando los criterios del Esquema
Formación mínima reconocida de 60/100/180 horas en relación con las materias incluidas en el programa del Esquema.
Estos prerrequisitos pueden cumplirse a través de cuatro posibilidades:
- 5 años de experiencia
- 3 años de experiencia + 60 horas formación reconocida
- 2 años de experiencia + 100 horas formación reconocida
- 180 horas formación reconocida
¿Qué entidades están llamadas a designar un Delegado de Protección de Datos?
Cabe mencionar, antes de continuar, las entidades llamadas a designar un delegado de Protección de Datos según el RGPD en su artículo 37 es designado por el responsable y el encargado del tratamiento, siempre que:
- El tratamiento lo, lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Según la LOPDGDD estas son las entidades llamadas a contratar es colaborador:
- Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo
- Tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
- Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las empresas de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad
Cuál es la posición que ocupará el delegado de Protección de Datos dentro de la organización.
Esta figura puede brindar sus servicios interna o externamente. Puede ser persona natural o jurídica
Su ámbito de actuación incluye participar en todos los asuntos que tengan relación con la protección de datos personales, oportunamente y de forma correcta. Él deberá contar con todos los recursos necesarios, materiales, de formación actualizada y acceso total a los datos y tratamientos para su exitoso desempeño.
Por lo tanto, para contratar un delegado protección de datos es imprescindible que cuente con independencia e imparcialidad. Será incongruente con su rol permitir recibir instrucciones respecto a sus funciones. Así, el DPO deberá contar con suficiente carácter y entereza para el cumplimiento fiel de sus funciones por sobre cualquier eventualidad o circunstancia adversa.
Debe ser una persona capaz de proteger dicha posición de las interferencias. Al no poder ser sustituido ni sancionado por cumplir y rendir cuentas al más alto nivel jerárquico dentro de la organización, está en la mejor posición de proteger los datos personales de la organización en general. En conclusión, ese delegado de protección de datos será un profesional, con formación acreditada, con personalidad y carácter.
