El nuevo Reglamento general de protección de datos tiene como objetivo poner fin a la fragmentación legislativa en materia de protección de datos en los países de la Unión Europea dificultando muy a menudo la libre circulación de los datos en el territorio europeo.
Una novedad del Reglamento es la figura del Delegado de Protección de Datos (Data Protection Officer -DPO) que ha sido objeto de intensos debates en la gestación del Reglamento por las posiciones encontradas y los criterios sobre si debía ser o no una figura obligatoria.
La redacción definitiva (artículo 37 y siguientes) ha consagrado la figura del DPO como obligatoria en determinadas circunstancias.
En realidad estamos ante el desarrollo de lo que es actualmente el Responsable de Seguridad (o debería de ser). Se trata de la persona o personas encargadas de supervisar el cumplimiento de lo dispuesto en el Reglamento y de las políticas que en cada caso tenga establecidas el responsable del tratamiento, informando y asesorando.
No necesariamente. El texto del Reglamento permite flexibilidad y puede tratarse tanto de un empleado como de una persona unida al responsable por un contrato de servicios.
Según el texto literal del Reglamento:
Finalmente y como no podía ser de otra forma, la figura del DPO sólo será obligatoria en determinadas circunstancias: básicamente cuando el tratamiento de datos bien por volumen o bien por la sensibilidad de los datos tenga cierta relevancia. En concreto:
Esto significa que habrá que tener claro que no se trata del tamaño de una compañía sino de los datos que procese. Ahora bien ¿entraría dentro del apartado b) la actividad de cualquier empresa que recopila los datos de sus consumidores digamos por ejemplo para promociones de producto? ¿En qué consiste exactamente el ´termino “a gran escala”?. Esta y otras cuestiones deberán ser convenientemente interpretadas pero lo cierto es que si actualmente en casi todas las organizaciones de mediano tamaño se ha designado la figura de un Responsable de Seguridad, no hay motivo para no designar un DPO con funciones bien definidas y con las dotaciones presupuestarias adecuadas para velar por el buen cumplimiento de la Ley.
Igualmente puede desempeñar esta función en conjunción con otras o en exclusiva. Nuevamente todo dependerá de la organización y del volumen de trabajo.
Lo que parece claro es que no podrá ser destituido por cumplir sus funciones y en este punto, que sobre el papel puede no decir nada, a menudo encontramos el choque frontal entre los intereses del propio responsable y las limitaciones legales que serán puestas de manifiesto por el DPO. De hecho, deberá ser independiente y no recibir instrucciones sobre sus funciones.
Aunque el DPO será el responsable de las anteriores funciones, la responsabilidad última será del responsable del tratamiento y de hecho y en principio el DPO no tendrá responsabilidad a menos que se demuestre que ha hecho dejación clara de sus funciones.
En principio cualquiera. Sin embargo esta afirmación puede ser una temeridad pues las funciones que el nuevo texto le atribuye son lo suficientemente importantes como para que estemos ante un profesional con conocimientos de la materia.
Caminamos hacia la profesionalización de este tipo de figuras (al igual que sucederá con los responsables de Compliance o Compliance Officer cuya responsabilidad debe recaer en alguien que reúna las características de independencia, jerarquía, conocimiento de la materia y de la organización y dotación de medios. Sin estos requisitos el desempeño de las funciones será muy complicada.
Nos encontramos por lo tanto ante una nueva figura profesional que para quienes desarrollamos nuestra profesión en este ámbito se nos abren oportunidades profesionales y de negocio.
La privacidad es algo muy serio y la figura del Delegado de Protección de Datos deberán tomársela en serio en las organizaciones.
Paz Martín