Perfil profesional del Delegado de Protección de Datos

1304
formacion DPO

Con la aprobación del Reglamento General de Protección de Datos (en adelante, RGPD) por el Consejo y el Parlamento Europeo el pasado 14 de abril, quedan despejadas algunas dudas, y pendientes otras, en relación con la figura del Delegado de Protección de Datos (en inglés, Data Protection Officer, DPO). Esta figura es nueva en España pero tiene ya un largo recorrido en otros países de la Unión Europea, especialmente en Alemania, primer país en incluirla en su normativa nacional sobre protección de datos personales.

Conviene tener claro el perfil profesional que debe tener esta nueva figura en materia de Protección de Datos y, para ello, la Guía publicada por la UE sobre el DPO, nos sirve de orientación.

Experiencia y habilidades del DPO

El apartado 5 del artículo 37 dispone que el Delegado de Protección de Datos “se designará sobre la base de cualidades profesionales y conocimiento de la legislación y las prácticas en materia de protección de datos y la capacidad contemplados en el artículo 39 “. Por tanto, el nivel necesario de conocimientos será determinado de acuerdo con las operaciones de tratamiento de datos realizadas y la Protección de Datos personales procesados.

Nivel de experiencia

El nivel requerido de experiencia no está estrictamente definido, pero debe ser proporcional a la sensibilidad, complejidad y cantidad de datos que procesa una organización. Por ejemplo, cuando la actividad es particularmente compleja, o cuando se trata de una gran cantidad de datos sensibles, el DPO necesita un mayor nivel de experiencia y apoyo. También hay una diferencia dependiendo de si la Organización transfiere sistemáticamente datos personales fuera de la Unión Europea o las transferencias son ocasionales. El DPO debe ser escogido cuidadosamente, teniendo en cuenta los datos y los problemas de protección que surgen dentro de la organización.

Cualidades profesionales y formación (Máster y cursos oficiales)

Aunque el artículo 37 (5) no especifica las cualidades profesionales que deben considerarse al designar al DPO, es un elemento relevante que estos deban tener experiencia en las leyes y prácticas europeas en materia de protección de datos y un conocimiento profundo del GDPR. También es necesario que las autoridades de supervisión promuevan una formación adecuada y regular para los Delegados de Protección de Datos.

El conocimiento del sector empresarial y de la organización del controlador es útil. El DPO debe tener una comprensión suficiente de las operaciones de tratamiento realizadas, así como de la información, sistemas y seguridad de los datos y las necesidades de protección de datos del controlador.

En el caso de una autoridad u organismo público, el RPD también debe tener un conocimiento de las actividades administrativas y procedimientos de la organización.

Capacidad para cumplir con sus tareas

La capacidad para cumplir las tareas que incumben al DPO debe interpretarse como las cualidades personales y conocimientos, sino también a su posición dentro de la organización. Cualidades personales son, por ejemplo, integridad y alta ética profesional; La principal preocupación del DPO es permitir el cumplimiento del GDPR. Desempeña un papel clave en el fomento de la protección de datos y la cultura dentro de la organización y ayuda a implementar elementos esenciales del GDPR, como los principios del tratamiento de datos, derechos de los titulares de datos, protección de datos por diseño y por defecto, Registros de actividades de procesamiento, seguridad del procesamiento, notificación y comunicación de datos y brechas de seguridad.

DPO sobre la base de un contrato de servicios

La función del DPO también puede ejercerse sobre la base de un contrato de servicios celebrado con una persona o una organización fuera de la organización del controlador / procesador. En este último caso, es esencial que cada miembro de la organización que ejerza las funciones de un DPO cumpla todos los requisitos de la Sección 4 del GDPR (por ejemplo, es esencial que nadie tenga un conflicto de intereses). Es igualmente importante que cada uno de esos miembros esté protegido por las disposiciones del GDPR

Al mismo tiempo, se pueden combinar fuerzas para que varias personas, trabajando en equipo, puedan servir más eficientemente a sus clientes.

En aras de la claridad jurídica y de la buena organización, se recomienda disponer de una designación de tareas dentro del equipo de DPO y para asignar a un solo individuo como contacto principal para cada cliente. En general, también sería útil especificar estos puntos en el contrato de servicio.

Publicación y comunicación de los datos de contacto del DPO

El artículo 37, apartado 7, del GDPR exige al responsable del tratamiento o del transformador:

El objetivo de estos requisitos es garantizar que los interesados (tanto dentro como fuera de la Organización) y las autoridades de supervisión pueden contactar de forma fácil, directa y confidencial con el DPO sin tener que contactar con otra parte de la organización.

Los datos de contacto del DPO deben incluir información que permita a las personas y a las autoridades competentes llegar al RPD de una manera fácil. Cuando proceda, a efectos de la comunicación con el público, otros medios de comunicación también podrían proporcionarse, por ejemplo, una línea directa dedicada o un formulario de contacto dirigido al DPO en el sitio web de la organización.

El apartado 7 del artículo 37 no exige que los datos de contacto publicados incluyan el nombre del DPO. Aunque puede ser una buena práctica hacer esto, es para el controlador y el DPO decidir si esto es necesario o útil en las circunstancias particulares.

Como una buena práctica, se recomienda que una organización informe al supervisor, autoridad y empleados del nombre y datos de contacto del DPO. Por ejemplo, el nombre y los datos de contacto del RPD podrían publicarse internamente en la intranet de la organización, en el teléfono interno, directorio y organigramas.

Perfil profesional del Delegado de Protección de Datos
4.5 (90%) 6 votos

Dejar respuesta